Autor Zpráva
KubikM
Profil
Dobrý den,
s pár lidma z okolí sestavujeme server na S2008 R2, chci se zeptat, na zkušenosti s hackingem Vašich serverů, nebo Vašich uložišť dat, které sdílíte. Chci se zeptat, na co si máme dát pozor, co zabezpečovat, co zamezit a případně co nepovolovat vůbec. Myslím tím jako např. u PHP - výstupy, SQL inj, formuláře, js, apod.

Jedná se mi hlavně o nabourávání databáze, jak ji nejlépe zabezpečit, jak nejlépe zabezpečit celý systém proti poškozování souboru.

Je mi jasné, že 100% bezpečné to nebude nikdy, ale chceme to udělat tak, aby se neopakovala situace, že někdo nabourá systém, poškodí soubory a vleze do databáze ať už našeho serveru nebo webové stránky někoho, kdo u nás bude z okolí hostovat.

Děkuji Kubík Milan
tiso
Profil
KubikM: niektoré veci by nemali laici robiť, toto je jedna z nich.
Joker
Profil
KubikM:
Upřímně, právě na to mám hosting, abych se tímhle nemusel zabývat.
Alespoň mám pak komu nadávat (jinému než sobě :) ), kdyby mě někdo hacknul.

tiso:
niektoré veci by nemali laici robiť
Kdyby to jenom dělali, už jsem viděl i případy, kdy se přitom ještě tvářili jako profesionální hosting.
Davex
Profil
KubikM:
Nejčastěji bývá problém s provalením FTP hesla (vyloupnutím z Total Commanderu nebo odchycením ze sítě), takže nedoporučuji používat FTP.

Dále bývá zneužita chyba v redakčním systému nebo děravém nástroji, jako třeba PHPMyAdmin, takže nejlepší metoda je důsledné oddělení webových prostorů uživatelů, zakázání nebezpečných funkcí, spouštění PHP pod uživatelem s omezenými právy a filtrování HTTP protokolu v kombinaci s IDSkou. Mělo by být zakázáno připojení k databázi odkudkoliv z internetu.

No a základem jsou samozřejmě všude rozdílná a silná hesla, která nejsou ve slovníku.
armin
Hosting armin.sk
Profil
O zabezpečení by mohla vydat jedna nejmenovaná společnost několik knih, doporučoval bych se obrátit na tento ovocný hosting. Protože neexistuje žádný hosting, který by byl 3x po sobě hacknut a pak jak kdyby sekyrou utnul - ani ťuk. Do jisté míry to bude tím, že konečně si zavolali externí firmu na zabezpečení, tak bych doporučil zeptat se tohoto hostingu na kontakt na dotyčného pána, co jim to dělal.

P.S.: Taky se lehce pozastavuji nad tím, co máte v plánu. To je jako chtít si postavit vlastní auto a ptát se na co si dát pozor... dvěma slovy: na všechno.
KubikM
Profil
Mno, jde spíše o zkušenosti s hackingem, většinu věcí co jste zde psali zabezpečenou máme a považujeme to za samozřejmost, většinou to jsou lidi z branže, nikoliv programátoři nebo kodéři, takže snad to bude šlapat. Děkuji, ještě někdo nějaký poznatek, nápad, zkušenost?
djlj
Hosting subreg.cz
Profil
No otázka je, jestli tam budeš mít vlastní věci, nebo to bude pro x třetích osob, kdy nevíš, co ti tam která provede. Já jsem se třeba na spoustě hostingů dostal k různým konfiguračním souborům, a to jsem ani nemusel dělat nic zakázaného/nekalého.
Ale pokud to bude server jen pro tebe, tak stačí mít jen zabezpečené skripty (vstupy), nejlépe nepoužívat FTP a přihlašovat se přes SFTP.
Karel Dytrych
Hosting vas-hosting.cz
Profil
Možná by vám prospělo pročíst spíše nějakou knihu než pár byť dobře míněných rad... Minimálně si i rozšíříte obzory.. http://knihy.cpress.cz/knihy/pocitacova-literatura/bezpecnost/

0